技术摘要：
本发明属于信息安全技术领域，公开了一种基于标识密码的云平台应用和数据安全处理方法、系统、存储介质、程序，标识密钥生成中心用于生成应用的标识、标识的匹配的私钥、应用的对称根密钥的生成与管理、应用的数据保护密钥、文件保护密钥和MAC密钥的生成及相关加解密计  全部
背景技术：
目前，随着云平台广泛普及，云平台的安全风险也日益凸显并复杂化，云平台都存 在一个核心问题：如何确保业务应用不被非法访问、如何确保数据不被窃取、不被篡改。如 果业务应用实现可信识别，数据实现保密传输和存储，将大大扩展了云平台的应用，甚至促 进云平台业务应用的蓬勃发展。 现有的云平台安全技术中，没有利用密码技术，尤其是标识密码技术整体解决云 平台业务安全和数据安全问题，并且不能有效实现与业务应用绑定的安全通道、安全存储、 数据加密、业务身份认证、日志安全保护等功能，不能确保云平台中业务应用不被非法访 问、数据不被窃取与篡改，日志不可信，数据无法保密传输。 现有技术中，业务应用的初始化只依赖本身，存储敏感参数的配置文件安全管理 只依赖本身的安全能力，不能由可信的第三方SCM参与控制。 现有的技术中，业务应用之间数据传输没有实现基于应用身份标识的安全管理， 无法确保业务数据不被非法使用。 通过上述分析，现有技术存在的问题及缺陷为：(1)现有的云平台安全技术中，没 有利用密码技术解决云平台业务安全和数据安全问题，没有有效地解决业务应用标识和安 全可信的初始化，并且不能有效实现与业务应用绑定的安全通道、安全存储、数据加密、业 务身份认证、日志安全保护等功能，不能确保云平台中业务应用不被非法访问、数据不被窃 取与篡改，日志不可信，数据无法保密传输； (2)业务应用的初始化不能由可信的第三方SCM参与控制，可靠性不高，安全性无 保障； (3)数据传输安全性没有与业务标识绑定并保护，无法保证业务数据不被非法使 用。 解决以上问题及缺陷的难度为：(1)基于标识密码体(SM9)建立业务应用的身份标 识，以及基于标识验证的初始化。 (2)业务应用中存储的数据库连接密钥等敏感参数的配置文件，如何实现安全保 护。 (3)文件存储、数据存储与传输、日志等采用不同的安全策略。 解决以上问题及缺陷的意义为：(1)云平台中的业务应用有自己的唯一标识，采用 不同安全级别的加密方式进行保护，方便开展多种业务操作和满足不同操作的安全需求， 适应业务要求的需要； (2)云平台中的业务应用在初始化时，可信的SCM验证应用的IP、端口和HASH，确保 5 CN 111600948 A 说　明　书 2/7 页 应用真实，认证通过后向Agent发送配置文件解密密钥，增强了业务应用的安全可靠性，防 止第三方非法使用； (3)文件、数据采用不同的加密密钥，有利于多业务应用安全需要。
技术实现要素：
针对现有技术存在的问题，本发明提供了一种基于标识密码的云平台应用和数据 安全处理方法、系统、存储介质、程序。 本发明是这样实现的，一种基于标识密码的云平台应用和数据安全处理方法，包 括： 步骤一，应用服务端初始化，注册所述初始化后应用服务端的IP、端口以及主应用 的路径，同时将所述主应用路径进行发送应用代理端； 步骤二，应用代理端对接收到的相关数据计算服务文件的HASH值并发送给标识密 钥生成中心，标识密钥生成中心根据IP、端口和HASH值生成应用的应用标识和所述标识的 公、私钥对； 步骤三，标识密钥生成中心使用P10封装生成的私钥发送到所述应用服务端的应 用代理处，并生成所述应用服务的对称根密钥、数据加密密钥、文件加密密钥、MAC加密密钥 并保存；同时在安全控制管理子系统中注册所述应用服务保存敏感参数的配置文件路径， 并向标识密钥生成中心请求相应应用的文件加密密钥； 步骤四，标识密钥生成中心使用标识公钥加密文件加密密钥发回安全控制管理子 系统，所述安全控制管理子系统将对应文件加密密钥和文件路径发送给应用代理端，所述 应用代理端使用所述文件加密密钥加密配置文件； 步骤五，重启应用服务端初始化，应用代理端计算主服务文件的HASH并发送到安 全控制管理子系统，比较注册时的HASH值以及IP和端口，相等时请求标识密钥生成中心使 用标识公钥加密，生成密钥文件，并发送给应用代理端，使用私钥解密密钥文件，并使用文 件密钥解密配置文件。 进一步，步骤四中，所述应用代理端使用所述文件加密密钥加密配置文件包括：使 用所述文件加密密钥加密多个配置文件。 进一步，步骤五中，所述加密公钥包括：文件加密密钥、数据加密密钥和MAC密钥。 进一步，所述云平台应用和数据安全处理方法进一步包括： 加密存储数据：应用服务端加密存储数据中，通过应用代理端使用数据密钥加密 数据； 保护日志：应用服务端对核心数据操作日志中，通过应用代理端采用日志链进行 保护； 数据传递：应用服务端A向应用服务端B传递数据中，应用服务断A先使用数据加密 密钥分散生成此次数据传输密钥，使用应用服务端B的标识公钥加密数据传输密钥并发送 给应用服务端B，应用服务端B收到后，应用服务端A再使用数据传输密钥加密信息并发送给 应用服务端B；应用服务端B使用标识私钥解密传输加密密钥，并使用传输加密密钥解密传 输的加密信息。 进一步，所述通过应用代理提供的方法采用日志链进行保护的方法包括： 6 CN 111600948 A 说　明　书 3/7 页 对第一条操作日志使用MAC密钥为加密，取最后一个加密块的前4个字节作为MAC 值，放在记录的结尾，从第二条日志记录起，对前一个MAC和本次的日志记录加密，取最后一 个加密块的前4个字节作为MAC值，放在记录的结尾，产生日志链。 进一步，所述MAC的计算方法包括： 采用SM4的CBC模式加密，令IV＝0；通过在数据的右端强制添加一个80字节，再添 加最少个字节00，扩充数据的长度为16的整数倍；取最后一个加密块的前4个字节作为MAC 值。 进一步，所述应用服务标识生成方法包括： 使用标识密钥生成中心的标识种子密钥对应用的IP、端口和业务住应用文件的 HASH值进行SM4加密，取最近一个加密块的16进制编码后的32个字符作为所述应用的标识。 本发明的另一目的在于提供一种基于标识密码的云平台应用和数据安全处理系 统，包括： 标识密钥生成中心，用于生成应用的标识、标识的匹配的私钥、应用的对称根密钥 的生成与管理、应用的数据保护密钥、文件保护密钥和MAC密钥的生成及相关加解密计算； 安全控制管理子系统，用于进行应用的注册管理、验证管理； 应用代理端，用于进行应用服务端与标识密钥生成中心、安全控制管理的通信、应 用服务的私钥管理、应用服务的敏感安全参数CSP安全保护、核心数据和日志的安全保护， 以及应用之间的传输数据或文件的保护。 本发明的另一目的在于提供一种接收用户输入程序存储介质，所存储的计算机程 序使电子设备执行所述云平台应用和数据安全处理方法。 本发明的另一目的在于提供一种存储在计算机可读介质上的计算机程序产品，包 括计算机可读程序，供于电子装置上执行时，提供用户输入接口以实施所述云平台应用和 数据安全处理方法。 结合上述的所有技术方案，本发明所具备的优点及积极效果为：本发明采用不同 安全级别的加密方式进行保护，方便开展多种业务操作和满足不同操作的安全需求，适应 业务要求的需要；在初始化时，可信的SCM验证应用的IP、端口和HASH，确保应用真实，认证 通过后想Agent发送配置文件解密密钥，增强了业务应用的安全可靠性，防止第三方非法使 用；本发明文件、数据采用不同的加密密钥，有利于多业务应用安全需要。 本发明业务应用能够实现可信识别，数据实现保密传输和存储，大大扩展了云平 台的应用，促进云平台业务应用的蓬勃发展。 附图说明 为了更清楚地说明本申请实施例的技术方案，下面将对本申请实施例中所需要使 用的附图做简单的介绍，显而易见地，下面所描述的附图仅仅是本申请的一些实施例，对于 本领域普通技术人员来讲，在不付出创造性劳动的前提下还可以根据这些附图获得其他的 附图。 图1是本发明实施例提供的基于标识密码的云平台应用和数据安全处理系统结构 示意图。 图中：1、标识密钥生成中心；2、安全控制管理子系统；3、应用代理端。 7 CN 111600948 A 说　明　书 4/7 页 图2是本发明实施例提供的基于标识密码的云平台应用和数据安全处理方法流程 图。